Active Directory 灵活单主机 (FSMO) 实际应用

如果域控制器出现故障怎么办？操作主机具有必须由 Active Directory 域中的域控制器执行的特殊任务。如果域控制器发生故障，则必须由另一个域控制器接管此特殊角色。如果不进行接管，迟早会出现问题。

森林范围内的角色

域名命名大师

整个结构中只能有一个域控制器可以分配域名。

架构大师

如果您想要更改数据库模式，请联系模式管理员。例如，当您安装 Exchange Server 时，就会发生这种情况。或者，如果您手动更改架构。

域范围角色

RID大师

具有此角色的服务器将 RID（安全标识符）分配给其他域控制器（每个 DC 500 个）。其他 DC 可以使用这些 RID 来创建 Active Directory 对象。这可确保域中的 RID 是唯一的。只能有一个跟踪 RID。

PDC模拟器

更改密码会直接复制到域的 PDC 模拟器。 PDC 模拟器也是域时间服务器等等。 PDC 主站的故障通常很快就会变得明显。 PDC Master 可能会面临繁重的工作量。所以把这个角色放到硬件最好的服务器上。有关 FSMO 放置的更多信息请参阅本文末尾。

基础设施大师

基础结构主机 (ISM) 负责确保链接的 Active Directory 对象与其他域之间的引用完整性。他联系自己域的GC来检测其他域中对象的变化（例如组成员身份）。

中期结论

我准备了一个屏幕截图，以图形方式说明了这个（但有些理论性的主题）。请注意，只有 2 个域控制器拥有架构主机和域命名主机。每个域有 3 个域范围角色。

谁拥有这个角色？

打开 dsa.msc（Active Directory 用户和计算机）。右键单击您的域名并选择操作主机...这将向您显示所有域范围角色。

打开domain.msc（Active Directory 域和信任）。右键单击 Active Directory 域和信任并选择操作主机...

或者使用 netdom query fsmo 显示全部。打开 Windows PowerShell 并输入

netdom query fsmo

Get-ADForest 仅显示林范围角色。

Get-ADForest | Select Schema*,Domain*

Get-ADDomain 显示所有域范围 FSMO 角色。

Get-ADDomain | Select-Object RID*,PDC*,Infra*

移动 FSMO 角色

为此，Move-ADDirectoryServerOperationmasterRole 或 ntdsutil 都是您的朋友。

Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identity dc01

ntdsutil
roles
connections
connect to server dc01
quit
transfer rid master

恢复 FMSO 角色

如果具有 FSMO 角色的 DC 不再起作用且无法恢复，则说明林或域中缺少此角色。在这种情况下，这个角色就必须被另一个DC“暴力”接替。重要提示：前 DC 不得再次联系该域。 （否则：森林/域中的双重 FSMO 角色，祝你好运！）。 ?

Move-ADDirectoryServerOperationMasterRole - 强制移动角色。

Move-ADDirectoryServerOperationMasterRole -OperationMasterRole RIDMaster -Identity dc01 -Force

或者，可以使用 ntdsutil。使用抢占而不是转移。

ntdsutil
roles
connect to server dc01
quit
seize rid master

深入探讨 FSMO 角色

使用 Get-ADObject 或 dsquery 显示架构主机和架构版本。

显示架构大师

Get-ADObject "cn=Schema,cn=Configuration,dc=a-d,dc=com" -Properties * | Select-Object FSMO*

显示架构版本

Get-ADObject "cn=Schema,cn=Configuration,dc=a-d,dc=com" -Properties * | Select-Object Objectversion | Format-List

dsquery * "cn=Schema,cn=Configuration,dc=a-d,dc=com" -scope base -attr objectversion -s dc01

显示 RID 池

查询 RID Master 上的 RID 池。

dcdiag /TEST:RidManager /v | find /i "Available RID Pool for the Domain"

显示域的时间服务器（PDC Master）

使用 w32tm /monitor 找出 PDC Master。

w32tm /monitor